Анализ на разликите между DORA и NIS 2

Анализ на разликите между DORA и NIS 2

Два важни европейски законодателни акта се открояват като еволюция на нормативната уредба в областта на киберсигурността: Законът за цифровата оперативна устойчивост (DORA) и Директивата NIS 2. И двата имат за цел да повишат киберсигурността, но са насочени към различни сектори и имат различни цели и изисквания.

Преглед на DORA и NIS 2

DORA: В сила от 17 януари 2025 г., DORA се фокусира върху финансовия сектор, като има за цел да гарантира, че финансовите субекти могат да устоят и да работят по време на и след кибератаки. Основната цел е да се поддържат наличността и целостта на финансовите услуги, като се набляга на оперативната устойчивост.

NIS 2: За да бъде транспонирана в националните законодателства до октомври 2024 г., NIS 2 има за цел да хармонизира киберсигурността в целия ЕС, като е насочена към основни субекти в различни сектори като енергетика, транспорт, здравеопазване и цифрова инфраструктура. Директивата има за цел да повиши общото ниво на киберсигурност в ЕС.

Разлики между DORA и NIS 2

  1. Обхват и целеви субекти:
  • DORA се прилага за 21 финансови субекта, включително банки, инвестиционни посредници, застрахователни дружества и доставчици на услуги от трети страни в областта на ИКТ (информационни и комуникационни технологии).
  • NIS 2 обхваща по-широк кръг от сектори, като прави разграничение между основни субекти (EE), като доставчици на енергия и транспортни услуги, и важни субекти (IE), като пощенски услуги и предприятия за производство на храни.

        2. Цели

  • DORA е насочена към осигуряване на оперативната устойчивост на финансовия сектор. Тя предписва цялостно управление на риска в областта на ИКТ (информационните и комуникационните технологии), управление на инциденти, тестване на устойчивостта, управление на риска от трети страни и обмен на информация във финансовия сектор.
  • NIS 2 има за цел да подобри цялостната позиция по отношение на киберсигурността в ЕС, като набляга на управлението и откриването на инциденти и реагирането на тях, както и на осигуряването и тестването на периметрите и активите в различни критични сектори.

3.Съответствие и прилагане:

  • DORA е регламент, който ще се прилага пряко във всички държави – членки на ЕС, без да е необходимо да се транспонира на национално равнище. Той изисква стриктно тестване на сигурността, включително годишно тестване на устойчивостта и тестове за проникване под въздействието на заплахи на всеки три години.
  • NIS 2 е директива, изискваща транспониране в националните законодателства, което може да доведе до различия. Тя налага строги санкции за неспазване, включително глоби в размер до 2 % от годишния глобален оборот за съществени субекти.

4.Управление на риска от трети страни:

  • DORA изисква от финансовите субекти да управляват рисковете, породени от доставчиците на услуги от трети страни в областта на ИКТ, като осигуряват надеждни договори и непрекъснато наблюдение.
  • NIS 2 също разглежда сигурността на веригата за доставки, но в по-широк контекст, като оказва въздействие върху различни сектори извън финансовите услуги.

Решения на WatchGuard за съответствие

WatchGuard предлага набор от продукти, които помагат на партньорите и техните клиенти да спазват изискванията на DORA и NIS 2:

Управление на риска в областта на ИКТ:

  • Защитни стени с функции като Gateway AntiVirus и DNSWatch.
  • Решения за защита на крайни точки (EPP, EDR, EPDR, Advanced EPDR) с конзоли за управление на риска и оценки на уязвимостите.
  • Управление на кръпките и пълно криптиране за защита на данните.

Управление на инциденти:

  • Непрекъснато наблюдение на заплахите с EDR и ThreatSync+ NDR.
  • 24-часово наблюдение и реагиране на инциденти с WatchGuard MDR.

Тестване на устойчивостта:

  • ThreatSync+ NDR за симулиране на атаки и идентифициране на уязвимости.
  • Решения за сигурност на крайни точки за тестване на устойчивостта и съдебен анализ.

Управление на риска от трети страни:

  • Контролите на мрежовия достъп и ThreatSync+ NDR се използват за наблюдение на дейностите на трети страни.
  • AuthPoint MFA за сигурен достъп на трети страни.

Управлявани услуги за сигурност за партньори

За да се намали работното натоварване на клиентите и да се гарантира правилното управление на сигурността, партньорите могат да предлагат следните управлявани услуги в допълнение към продуктите и услугите на WatchGuard:

  • 24/7 мониторинг на сигурността
  • Threat Hunting and Incident Response
  • Patch Management
  • Security Assessments
  • Compliance Reporting
  • Endpoint Protection
  • Management User Training and Awareness

Чрез използване на цялостните решения за сигурност на WatchGuard и предлагане на тези управлявани услуги, партньорите могат да помогнат на клиентите да подобрят своята позиция по отношение на киберсигурността и да осигурят съответствие с DORA и NIS 2.

Източник: watchguard.com

Сподели в: